Alfonso Maruccia

Intel AMT, il controllo remoto preferito dai malware

Un noto gruppo di cyber-criminali sfrutta il sistema di controllo remoto dei processori Intel per gestire i sistemi infetti, scambiare file e rubare dati. Non è una vulnerabilità ma una funzionalità, spiegano i ricercatori

Roma - Gli esperti di sicurezza di Microsoft hanno identificato l'ennesima operazione di alto profilo a opera di PLATINUM, un gruppo di cyber-criminali particolarmente abili che sfruttano ancora una volta una funzionalità sofisticata per gestire le comunicazioni da e verso i sistemi Windows infetti. Una funzionalità per cui non esiste alcuna patch correttiva.

I criminali di Platinum avevano fatto notizia l'anno scorso per la loro capacità di abusare del meccanismo di hotpatching di Windows, e la loro nuova iniziativa risulta se possibile ancora più pericolosa, visto che prende di mira il sistema per il controllo remoto di Intel noto come Active Management Technology (AMT).

Disponibile per server aziendali e taluni PC desktop, AMT è una sorta di mini-sistema operativo indipendente dall'OS installato sul disco fisso o sull'SSD, un processore secondario sulla motherboard che può essere interpellato da remoto per controllare il sistema con tanto di emulazione di input da mouse, tastiera e porta seriale (serial over LAN o SOL).
Un amministratore di sistema potrebbe legittimamente utilizzare AMT e SOL per accendere e spegnere i terminali di un'azienda, installare un sistema operativo o quant'altro, potendo contare sul fatto che le comunicazioni non possono essere intercettate all'esterno del circuito AMT e risultano quindi indipendenti da un qualsiasi firewall software.

Per quanto riguarda il possibile uso illegittimo di AMT e dei suoi eventuali bug, invece, il gruppo Platinum ne ha dato un esempio piuttosto chiaro nella sua ultima campagna malevola scovata da Microsoft nella regione del sudest asiatico: dopo aver infettato un sistema, i criminali hanno sfruttato le comunicazioni "trasparenti" su AMT-SOL per tenere sotto controllo i PC, scambiare file e altro ancora.

Un componente integrato come AMT non può essere rimosso con facilità ma, per la fortuna di consumatori e aziende, l'abuso delle comunicazioni SOL necessita sia dell'abilitazione della funzionalità che del furto delle credenziali di accesso a opera di un malware come quello usato da Platinum.

Alfonso Maruccia
Notizie collegate
  • AttualitàMicrosoft contro le patch malevole a caldoRedmond svela un'operazione contro un gruppo di cyber-criminali asiatici attivi da anni, capaci di sfruttare i meccanismi di aggiornamento propri di Windows per rubare informazioni riservate
  • SicurezzaIntel, 9 anni di bug nelle CPUI chip Core di Santa Clara prodotti dal 2008 ad oggi presentano una vulnerabilità che consentirebbe attacchi remoti. Occorre un nuovo firmware, ma trattandosi anche di sistemi datati per alcuni il fix non arriverà mai
31 Commenti alla Notizia Intel AMT, il controllo remoto preferito dai malware
Ordina
  • senza ide-r/sol solo con kvm abilitato, comunicazioni solo sulla 16993 sarei comque soggetto a qualche vulnerablità?
  • Non so risponderti con certezza ma in ogni caso per un teorico attacco devi arrivare alla tua macchina: se questa è dietro ad un fw e la 16993 della macchina "bersaglio" è accessibile solo da certi indirizzi, magari aperta al volo via knockd&c non vedo come si possa far qualcosa. L'unico scenario reale IMO è un attacco "locale" che probabilmente avrebbe ben altre possibilità di agire che non via AMT...
    non+autenticato
  • AMT è l'unica soluzione LOM (almeno che io conosca) by Intel, è come al solito assai inferiore alle architetture più serie ma se proprio si è messi male c'è. Affinché funzioni non basta una mobo x86 ed una cpu compatibile, servono parecchi pezzi, una nic supportata inclusa. Di fatto AMT è "predisposta" un po' su ogni macchina x86 ma incompleta quasi sempre e quindi direi non proprio usabile.

    Il principio stesso di AMT è assai discutibile e sicuramente sia le componenti firmware proprietarie e semi-incontrollabili non dovrebbero esistere ma da qui a subire attacchi su questo vettore, per lo meno attacchi come quelli ipotizzati ce ne corre, e tanto.
    non+autenticato
  • - Scritto da: xte
    > AMT è l'unica soluzione LOM (almeno che io
    > conosca) by Intel, è come al solito assai
    > inferiore alle architetture più serie ma se
    > proprio si è messi male c'è. Affinché funzioni
    > non basta una mobo x86 ed una cpu compatibile,
    > servono parecchi pezzi, una nic supportata
    > inclusa. Di fatto AMT è "predisposta" un po' su
    > ogni macchina x86 ma incompleta quasi sempre e
    > quindi direi non proprio
    > usabile.
    >
    > Il principio stesso di AMT è assai discutibile e
    > sicuramente sia le componenti firmware
    > proprietarie e semi-incontrollabili non
    > dovrebbero esistere ma da qui a subire attacchi
    > su questo vettore, per lo meno attacchi come
    > quelli ipotizzati ce ne corre, e
    > tanto.

    Ne esiste un'altra e si chiama RMM4: venduta come aggiuntiva per le schede madri per Xeon s775 (s1200btl o qualcosa più recenti) che non è altro che un'header con una nic. Ne ho avuta una e non ci ho smanettato più di tanto e mi sembrava meglio rispetto agli amt dello stesso periodo, non a livello di una ilom sun ma ci si lavorava
  • Grazie, non la conoscevo!
    non+autenticato
  • In pratica una connessione nulmodem, che comunque necessita sempre di un software dall'altra parte che ascolta.
    Se si scollega il cavo non funziona più....
    non+autenticato
  • Ricercatori di marketing?
    Peché una funzionalità vulnerabile è una vulnerabilità, a casa mia.
    Ma certo che i sofisti del marketing usano una fuzzy logic...
    non+autenticato
  • sicuro che non sia semplice cazzy logic?A bocca aperta
    non+autenticato
  • È certamente una vulnerabilità che diventa una non-vulnerabilità su di una macchina adeguatamente configurata (ovvero con tale ''feature'' disabilitata via BIOS) ma ciò non toglie che, se non correttamente gestita o meglio, se non gestita, sia pericolosissima, visto che stiamo parlando di una backdoor hardware.

    Qui un bel demo di platimum in azione via AMT-SOL:
    https://sec.ch9.ms/ch9/78cf/646930d5-711f-41af-99d...

    ...backdoor che funziona anche con la scheda di rete disabilitata.

    Sul fatto, invece, che nel 2017 si stia ancora parlando di ''novità'' in relazione alle vulnerabilità di AMT ho qualche dubbio, visto che già agli albori di questa tecnologia più di un ricercatore ne aveva evidenziato con decisione i punti (volutamente?) deboli dell'implementazione, es.

    Introducing Ring -3 Rootkits - Alexander Tereshkin and Rafal Wojtczuk - Black Hat USA - 2009
    https://invisiblethingslab.com/resources/bh09usa/R...

    Security Evaluation of Intel's Active Management Technology - Vassilios Ververis - KTH - 2010
    https://people.kth.se/~maguire/DEGREE-PROJECT-REPO...

    Intel AMT/ME Meet Intel's hardware backdoor - LaCon - 2012
    http://uberwall.org/bin/download/download/102/laco...

    Da notare con particolare attenzione le date degli studi dei singoli pdf...
  • - Scritto da: vrioexo

    > Da notare con particolare attenzione le date
    > degli studi dei singoli
    > pdf...

    appunto e da notare anche il totale disinteresse mostrato da questi geniacci della Intel

    a pensar male si fa peccato...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)